Localhost何时要用HTTPS？

作者：Maud Nalpas

原文链接：When to use HTTPS for local development

译者：Yodonicc

使用http://localhost 进行本地开发在大多数情况下是没有问题的，除了一些特殊情况。这篇文章解释了什么时候需要用HTTPS运行你的本地开发网站。

在这篇文章中，关于localhost的说法对127.0.0.1和[::1]也是有效的，因为它们都描述了本地计算机地址，也叫 "回环地址"。另外，为了使事情简单，不指定端口号。因此，当你看到http://localhost时，请将其理解为http://localhost:{PORT}或 http://127.0.0.1:{PORT}。

总结

在本地开发时，默认使用http://localhost。Service Workers、Web Authentication API等都可以正常工作。然而，在以下情况下，你需要HTTPS来进行本地开发。

• 在不同的浏览器中以一致的方式设置安全cookies
• 调试mixed-content的问题
• 使用HTTP/2及更高版本
• 使用需要HTTPS的第三方库或API
• 使用自定义的主机名

在本地开发中需要使用HTTPS的情况列表.png

<center>在本地开发中需要使用HTTPS的情况列表

</center>

如果你需要HTTPS用于上述用例之一，请查看如何使用HTTPS进行本地开发。

✨ 这就是你需要知道的一切。如果你对更多的细节感兴趣，请继续阅读!

为什么你的开发网站应该更具有安全性

为了避免遇到意想不到的问题，你希望你的本地开发网站尽可能地表现得像你的生产网站。因此，如果你的生产网站使用HTTPS，你希望你的本地开发网站表现得像一个HTTPS网站。

警告：

如果你的生产环境没有使用HTTPS，请将其作为优先事项。

默认使用http://localhost

浏览器以一种特殊的方式对待http://localhost：虽然它是HTTP，但它大多表现得像一个HTTPS网站。

在http://localhost，Service Workers、传感器API、Authentication API、支付以及其他需要一定安全保障的功能都得到了支持，并且表现得与HTTPS网站完全一样。

什么时候为本地开发使用HTTPS？

你可能会遇到这样的特殊情况：http://localhost不像一个 HTTPS 网站，或者你可能只是想使用一个非http://localhost的自定义网站名称。

在以下情况下，你需要使用HTTPS进行本地开发。

• 你需要在本地设置一个Secure、或SameSite:none、或具有__Host前缀的cookie。Securecookie只在HTTPS上设置，而不是在所有浏览器的http://localhost。而且，由于SameSite:none和__Host也要求cookie是Secure的，在你的本地开发网站上设置这种cookie也需要HTTPS。

小贴士

当涉及到在本地设置Securecookie时，并非所有的浏览器都以同样的方式行事。例如，Chrome和Safari不在本地主机上设置Securecookie，但Firefox会。在Chrome中，这被认为是一个错误。

• 你需要在本地调试一个只在HTTPS网站上发生，而在HTTP网站上不发生的问题，甚至http://localhost，例如 mixed-content 问题。
• 你需要在本地测试或重现HTTP/2或更新的特定行为。例如，如果你需要测试HTTP/2或更新版本的加载性能。不安全的HTTP/2或更新版本不被支持，甚至在localhost上也不被支持。
• 你需要在本地测试需要HTTPS的第三方库或API（例如OAuth）。
• 你没有使用localhost，而是使用一个用于本地开发的自定义主机名，例如mysite.example。通常，这意味着你已经覆盖了你的本地hosts文件。

终端编辑hosts文件的屏幕截图.jpeg

<center>终端编辑hosts文件的屏幕截图

</center>

	在这种情况下，Chrome、Edge、Safari和Firefox默认不认为`mysite.example`是安全的，尽管它是一个本地		网站。所以它不会表现得像一个HTTPS网站。

• 其他情况! 这不是一个详尽的列表，但是如果你遇到这里没有列出的情况，你就会知道：事情会在http://localhost上出意外，或者它的行为不太像你的生产网站。🙃

在所有这些情况下，你需要在本地开发中使用HTTPS。

如何在本地开发中使用HTTPS？

如果你需要使用HTTPS进行本地开发，请期待本系列的下一篇文章：如何在Localhost使用HTTPS开发？

如果你使用自定义主机名的提示

如果你使用一个自定义的主机名，例如，编辑你的hosts文件：

• 不要使用像mysite这样的裸主机名，因为如果有一个顶级域名（TLD）恰好有相同的名字（mysite），你会遇到问题。而且，这并非不可能：在2020年，有超过1500个顶级域名，而且这个名单还在不断增加。coffee, museum, travel，以及许多大公司的名称（甚至可能是你正在工作的公司！）都是顶级域名。请看这里的完整列表。
• 只使用属于你的域名，或为此目的保留的域名。如果你没有自己的域名，你可以使用test或localhost（mysite.localhost）。test在浏览器中没有特殊处理，但localhost有。Chrome和Edge对http://<name>.localhost有特殊支持 ，就像对localhost支持一样，它们将表现得很安全。试试吧：在localhost上运行任何网站，在Chrome或Edge中访问http://<你喜欢的任何名字>.localhost:<你的端口>。这可能很快就能在Firefox和Safari中实现。你之所以可以这样做（拥有像mysite.localhost这样的子域），是因为localhost不仅仅是一个主机名：它也是一个完整的顶级域名，就像com。

了解更多

• Secure contexts
• localhost as a secure context
• localhost as a secure context in Chrome

非常感谢所有审稿人的贡献和反馈，特别是Ryan Sleevi、Filippo Valsorda、Milica Mihajlija、Rowan Merewood和Jake Archibald。🙌

文中照片来源： @moses_lee on Unsplash

注：特别感谢技术指导dazhao(赵达)对本文翻译的审阅指正。